Quay lại

Chính sách bảo mật

Cập nhật lần cuối: 08/05/2026

📌 Tóm tắt nhanh

  • Chúng tôi chỉ thu thập dữ liệu cần thiết để cung cấp Dịch vụ
  • KHÔNG bán/cho thuê dữ liệu cá nhân của bạn
  • Mật khẩu được hash bằng bcrypt — không lưu plaintext
  • Tuân thủ Luật Bảo vệ Dữ liệu Cá nhân Việt Nam (Luật 91/2025/QH15)

1. Dữ liệu chúng tôi thu thập

Khi bạn dùng HustlyTasker, chúng tôi thu thập:

a) Thông tin tài khoản

  • Email, tên hiển thị, mật khẩu (đã hash)
  • Số điện thoại (tùy chọn)
  • Avatar (nếu bạn upload)

b) Dữ liệu sử dụng

  • Tasks, comments, files bạn tạo
  • Thông tin thành viên trong workspace
  • Lịch sử làm việc và performance metrics

c) Dữ liệu kỹ thuật

  • IP address, User Agent (cho audit log + chống brute-force)
  • Thời gian đăng nhập, thiết bị truy cập
  • Cookie phiên (session) để duy trì đăng nhập

2. Cách chúng tôi dùng dữ liệu

  • Cung cấp và vận hành Dịch vụ
  • Xác thực danh tính khi đăng nhập
  • Gửi email thông báo (task assigned, deadline, ...)
  • Phân tích để cải thiện sản phẩm
  • Phòng chống gian lận, spam, và lạm dụng
  • Tuân thủ pháp luật khi có yêu cầu hợp lệ

3. Bảo mật dữ liệu

  • Mật khẩu được hash bằng bcrypt cost 12 — không thể đọc được plaintext
  • Kết nối HTTPS/TLS bắt buộc cho mọi giao tiếp
  • Database isolation theo workspace — không lộ dữ liệu giữa các tổ chức
  • Kiểm tra đăng nhập chống brute-force (5 lần sai → khóa 15 phút)
  • Audit log immutable cho mọi hành động quan trọng
  • OTP đặt lại mật khẩu hash SHA-256, hết hạn 10 phút, max 5 lần thử

4. Cookie và lưu trữ

Chúng tôi sử dụng các cookie sau:

session — JWT phiên đăng nhập (httpOnly, Secure, SameSite=Lax). 7 ngày (hoặc 30 ngày nếu bạn check "Ghi nhớ").

tracking_session_id — UUID phiên ngắn cho analytics (30 phút).

NEXT_LOCALE — Ngôn ngữ ưa thích cho client portal.

5. Chia sẻ với bên thứ ba

Chúng tôi KHÔNG bán dữ liệu cá nhân của bạn. Chỉ chia sẻ với các nhà cung cấp dịch vụ vận hành thiết yếu:

  • Vercel — Hosting (Mỹ, EU)
  • Neon — Database PostgreSQL (Mỹ)
  • Resend — Gửi email transactional
  • Cloudflare Turnstile — Chống bot signup
  • Upstash Redis — Rate limiting
  • Have I Been Pwned — Kiểm tra password leak (k-anonymity, không gửi password)

6. Quyền của bạn (PDPL Việt Nam)

Theo Luật Bảo vệ Dữ liệu Cá nhân số 91/2025/QH15, bạn có quyền:

  • Xem dữ liệu cá nhân chúng tôi đang lưu trữ
  • Sửa thông tin không chính xác
  • Xóa tài khoản và toàn bộ dữ liệu
  • Rút lại sự đồng ý xử lý dữ liệu
  • Phản đối việc xử lý nhất định
  • Khiếu nại với cơ quan có thẩm quyền

Để thực hiện các quyền trên, vui lòng email privacy@hustlytasker.xyz với chủ đề "Yêu cầu PDPL".

7. Lưu trữ dữ liệu

  • Dữ liệu được lưu khi tài khoản còn hoạt động
  • Sau khi xóa tài khoản: dữ liệu xóa trong vòng 30 ngày
  • Audit log lưu 90 ngày để bảo mật
  • Login attempts lưu 90 ngày
  • Email tokens và OTP xóa sau khi hết hạn

8. Trẻ em dưới 16 tuổi

HustlyTasker không dành cho người dưới 16 tuổi. Nếu phát hiện tài khoản của trẻ em, chúng tôi sẽ xóa ngay lập tức.

9. Thay đổi chính sách

Chúng tôi có thể cập nhật Chính sách này. Thay đổi quan trọng sẽ được thông báo qua email ít nhất 30 ngày trước. Phiên bản hiện tại luôn có tại: /legal/privacy

10. Liên hệ

Câu hỏi về quyền riêng tư:

📧 privacy@hustlytasker.xyz

Hỗ trợ chung:

📧 support@hustlytasker.xyz

→ Xem Điều khoản dịch vụ